воскресенье, 12 июня 2016 г.

RAA

RAA (RAA SEP) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,39 биткоина (250 долларов), чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. К зашифрованным файлам добавляется расширение .locked

  Вымогатели сами называют свое детище вирусом RAA. Он на 100% написан на языке JavaScript, но т.к. в стандартной реализации JavaScript нет расширенных функций шифрования, то разработчики RAA использовали библиотеку CryptoJS, чтобы можно было использовать для шифрования алгоритм AES.

  Распространяется по email в виде вредоносных вложений, замаскированных под doc-файлы со случайными именами файлов типа mgJaXnwanxlS_doc_.js. При открытии JS-файла для отвлечения внимания демонстрируется некий документ Word (на русском языке), который автоматически генерируется вредоносом в папке "Мои документы". Cодержимое документа отображается как повреждённое. Пока пользователь это видит, начинается процесс сканирования дисков и шифрование целевых файлов. 

  Основной JS-файл будет добавлен в автозагрузку, чтобы при каждом входе пользователя в систему запускаться и шифровать его новые файлы. Попутно ставится вредонос Pony, ворующий пароли жертвы, который встраивается в Javascript-файл в качестве закодированной строки. И он тоже будет запускаться вместе с основным файлом шифровальщика, чтобы воровать информацию пользователя. Подробнее о Pony читайте ниже. 

  Теневые копии файлов удаляются вместе со службой, отвечающей за их работу.

  Жертве присваивается ID, который нужно выслать на email вымогателей raa-consult1@keemail.me вместе с несколькими зашифрованными файлами. Если ответа нет в течении 3-х часов, то нужно связаться с вымогателями через Bitmessage. 

Записка о выкупе называется !!!README!!!<ID>.rtf

Список файловых расширений, подвергающихся шифрованию:
.cd, .cdr, .csv, .dbf, .doc, .dwg, .jpg, .lcd, .mdb, .pdf, .png, .psd, .rar, .rtf, .xls, .zip (16 расширений).

При шифровании пропускаются только файлы с расширением .locked, и со знаками ~ и $ в имени. 

При шифровании пропускаются следующие пути:
Windows, RECYCLER, Program Files, Program Files (x86), Recycle.Bin, APPDATA, TEMP, ProgramData, Microsoft

Описание в энциклопедии TrendMicro >>

Файлы, связанные с RAA Ransomware:
%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe

Записи реестра, связанные с RAA Ransomware:
HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"

Подробнее о работе трояна Pony

1. Pony находится закодированном в Base64 исполняемом файле, запускающемся после шифрования. 
Он ворует следующую конфиденциальную информацию:
- сохраненные в браузере пароли; 
- логин-пароли для FTP-клиентов;
- учетные данные почтовых клиентов;
- информацию о кошельках криптовалют;
- установленные цифровые сертификаты;
- список распространенных паролей.

2. Собранную информацию Pony шифрует с помощью алгоритма RC4 и отправляет на C&C-сервер злоумышленников. При этом он фиксирует контрольные суммы всех полученных данных, выполняя действия в определённой последовательности:
1) подсчет контрольной суммы от незашифрованных данных;
2) добавление полученного значения к входным данным;
3) шифрование входных данных алгоритмом RC4 с заданным преступниками ключом;
4) подсчет контрольной суммы от зашифрованных данных;
5) добавление полученного значения к входным данным;
6) генерация случайного ключа длиной в 4 байта;
7) шифрование входных данных алгоритмом RC4, используя сгенерированный ключ;
8) формирование готовых к отправке данных.


***

Обновление от 30 августа 2016
1. Новая записка о выкупе
2. Изменения в коде
 Источник
3. Изменения в реестре:
Ключ реестра HKCU\RAA\Raa-fnl заменен на HKCU\Hff\Hff-fnl
4. Другие изменения >> 
5. Детекты: 
Детект на вложение Счет+штрафные санкции.doc >>
Детект на JS Payload >>
Детект на вредонос Pony >>


Степень распространённости: низкая. 
Подробные сведения собираются.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *